从模板创建分析规则
Microsoft Sentinel 中的“分析”部分包含从 Microsoft Sentinel GitHub 存储库预加载的规则模板。 可以使用这些模板创建一个规则来检测安全威胁。
浏览现有规则模板
可以使用一些现有规则模板来创建单个规则,并使用其他规则模板创建具有不同自定义选项的多个规则。 使用中的模板将在模板页上显示“正在使用”标签,如以下屏幕截图所示。
通过选择“规则模板”选项卡上的一个规则,可以观察规则的属性。 对于每个规则,可以查看:
严重性级别。 这指示警报的重要性。 有四个严重性级别:
- 高
- 中等
- 低
- 信息
规则名称。 这为警报规则提供了一个有意义的名称。
规则类型。 这定义规则类型,可以是下列类型之一:
- 异常
- 合成
- Microsoft 安全性
- ML 行为分析
- 已计划
数据源。 这将指定生成警报的数据源连接器。
策略。 这在 MITRE ATT&CK 模型中指定不同类型的恶意软件使用的方法。
注意
MITRE ATT&CK 是一个全球可访问的基于现实认知的攻击者策略和技术知识库。 ATT&CK 知识库为在私营部门、政府和网络安全产品和服务社区中开发特定威胁模型和方法奠定了基础。
从“活动规则”选项卡或“规则模板”选项卡上的列表中选择规则时,详细信息窗格将提供有关所选规则的详细信息。
从规则模板创建分析规则
选择预定义的规则模板时,详细信息窗格可能会显示筛选器,这些筛选器可用于定义该规则的行为方式。 对于融合和 ML 行为分析规则,Microsoft 不提供任何可编辑信息。 但是,对于计划的规则和 Microsoft 安全性,可以查看或编辑在威胁检测中使用的查询、筛选器以及包括和排除。 通过选择“创建规则”按钮,可以使用向导定义分析规则逻辑,该向导可帮助从所选模板自定义规则。
对于融合和 ML 分析模板,只能启用或禁用它们作为活动规则。
从 Microsoft 安全模板创建的规则包含以下元素:
“常规”选项卡
下表列出了“常规”选项卡上的输入内容。
| 字段 | 描述 |
|---|---|
| 名称 | 使用规则模板名称进行预填充。 |
| 说明 | 提供了有关创建警报的更多详细信息。 |
| 状态 | 指示分析规则是启用还是禁用状态。 |
| Microsoft 安全服务 | 表示来自一个 Microsoft 安全服务的警报源。 |
| 按严重性筛选 | 用于根据严重性级别优化来自源的警报;如果选择自定义,则可以指定高、中等、低或信息性。 |
| 包含特定警报 | 添加一个或多个字词,以包括其名称中含有特定文本的警报结果。 |
| 排除特定警报 | 添加一个或多个字词,以排除其名称中含有特定文本的警报结果。 |
自动响应
在“自动化响应”选项卡上,可以定义自动化规则。 如果选择“新添”,则会打开“新建自动化规则”窗格。 输入以下字段:
| 字段 | 说明 |
|---|---|
| 自动化规则名称 | 选择唯一描述此自动化规则的名称 |
| 触发器 | 无法更改的预定义值。 |
| 条件 | 可编辑和排序的典型查询筛选器构造。 |
| 操作 | 操作的选择列表;选择在满足查询筛选器条件时要执行的操作。 |
| 规则到期 | 要禁用规则的日期和时间。 默认值为无限。 |
| 订单 | 如果创建了多个规则,请选择序列号以在左窗格中对事件自动化规则重新排序。 |
备注
当你实现筛选器以基于文本字符串包含或排除特定警报时,这些警报不会出现在 Microsoft Sentinel 中。
以下屏幕截图显示了基于 Microsoft Defender for Cloud 生成的警报创建事件的示例。
有关如何从计划规则类型模板创建分析规则的说明,请参阅在下一单元(第 6 单元)中从计划规则模板创建分析规则。
备注
对于某些规则模板,可能会禁用“创建规则”按钮,这表示由于缺少数据源,无法通过所选模板创建规则。